TRIBUNAL SUPREMO DE ELECCIONES

NORMATIVA
www.tse.go.cr
_____________________________________________________________________

LEY DE PROTECCIN DE LA PERSONA FRENTE AL

TRATAMIENTO DE SUS DATOS PERSONALES
Ley n. 8968

Publicada en La Gaceta n. 170 de 05 de setiembre de 2011

_________________________________________________

LA ASAMBLEA LEGISLATIVA DE LA REPBLICA DE COSTA RICA

DECRETA:

PROTECCIN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS

DATOS PERSONALES

CAPTULO I

DISPOSICIONES GENERALES

SECCIN NICA

ARTCULO 1.- Objetivo y fin

Esta ley es de orden pblico y tiene como objetivo garantizar a cualquier

persona, independientemente de su nacionalidad, residencia o domicilio, el
respeto a sus derechos fundamentales, concretamente, su derecho a la
autodeterminacin informativa en relacin con su vida o actividad privada y
dems derechos de la personalidad, as como la defensa de su libertad e
igualdad con respecto al tratamiento automatizado o manual de los datos
correspondientes a su persona o bienes.

ARTCULO 2.- mbito de aplicacin

________________________________________________________________
LEY PROTECCIN DE LA PERSONA FRENTE AL TRATAMIENTO
DE SUS DATOS PERSONALES
1
 TRIBUNAL SUPREMO DE ELECCIONES
NORMATIVA
www.tse.go.cr
_____________________________________________________________________

Esta ley ser de aplicacin a los datos personales que figuren en bases de
datos automatizadas o manuales, de organismos pblicos o privados, y a
toda modalidad de uso posterior de estos datos.

El rgimen de proteccin de los datos de carcter personal que se establece

en esta ley no ser de aplicacin a las bases de datos mantenidas por
personas fsicas o jurdicas con fines exclusivamente internos, personales o
domsticos, siempre y cuando estas no sean vendidas o de cualquier otra
manera comercializadas.

ARTCULO 3.- Definiciones

Para los efectos de la presente ley se define lo siguiente:

a) Base de datos: cualquier archivo, fichero, registro u otro conjunto

estructurado de datos personales, que sean objeto de tratamiento o
procesamiento, automatizado o manuales, cualquiera que sea la modalidad
de su elaboracin, organizacin o acceso.

b) Datos personales: cualquier dato relativo a una persona fsica

identificada o identificable.

c) Datos personales de acceso irrestricto: los contenidos en bases de

datos pblicas de acceso general, segn dispongan leyes especiales y de
conformidad con la finalidad para la cual estos datos fueron recabados.

d) Datos personales de acceso restringido: los que, aun formando parte

de registros de acceso al pblico, no son de acceso irrestricto por ser de
inters solo para su titular o para la Administracin Pblica.

e) Datos sensibles: informacin relativa al fuero ntimo de la persona,

como por ejemplo los que revelen origen racial, opiniones polticas,
convicciones religiosas o espirituales, condicin socioeconmica,
informacin biomdica o gentica, vida y orientacin sexual, entre otros.

f) Deber de confidencialidad: obligacin de los responsables de bases de

datos, personal a su cargo y del personal de la Agencia de Proteccin de
Datos de los Habitantes (Prodhab), de guardar la confidencialidad con
ocasin del ejercicio de las facultades dadas por esta ley, principalmente
cuando se acceda a informacin sobre datos personales y sensibles. Esta
obligacin perdurar aun despus de finalizada la relacin con la base de
datos.
________________________________________________________________
LEY PROTECCIN DE LA PERSONA FRENTE AL TRATAMIENTO
DE SUS DATOS PERSONALES
2
 TRIBUNAL SUPREMO DE ELECCIONES
NORMATIVA
www.tse.go.cr
_____________________________________________________________________

g) Interesado: persona fsica, titular de los datos que sean objeto del
tratamiento automatizado o manual.

h) Responsable de la base de datos: persona fsica o jurdica que

administre, gerencie o se encargue de la base de datos, ya sea esta una
entidad pblica o privada, competente, con arreglo a la ley, para decidir
cul es la finalidad de la base de datos, cules categoras de datos de
carcter personal debern registrase y qu tipo de tratamiento se les
aplicarn.

i) Tratamiento de datos personales: cualquier operacin o conjunto de

operaciones, efectuadas mediante procedimientos automatizados o
manuales y aplicadas a datos personales, tales como la recoleccin, el
registro, la organizacin, la conservacin, la modificacin, la extraccin,
la consulta, la utilizacin, la comunicacin por transmisin, difusin o
cualquier otra forma que facilite el acceso a estos, el cotejo o la
interconexin, as como su bloqueo, supresin o destruccin, entre otros.

CAPTULO II

PRINCIPIOS Y DERECHOS BSICOS PARA LA

PROTECCIN DE DATOS PERSONALES

SECCIN I

PRINCIPIOS Y DERECHOS BSICOS

ARTCULO 4.- Autodeterminacin informativa

Toda persona tiene derecho a la autodeterminacin informativa, la cual

abarca el conjunto de principios y garantas relativas al legtimo tratamiento
de sus datos personales reconocidos en esta seccin.

Se reconoce tambin la autodeterminacin informativa como un derecho

fundamental, con el objeto de controlar el flujo de informaciones que
conciernen a cada persona, derivado del derecho a la privacidad, evitando
que se propicien acciones discriminatorias.

ARTCULO 5.- Principio de consentimiento informado

________________________________________________________________
LEY PROTECCIN DE LA PERSONA FRENTE AL TRATAMIENTO
DE SUS DATOS PERSONALES
3
 TRIBUNAL SUPREMO DE ELECCIONES
NORMATIVA
www.tse.go.cr
_____________________________________________________________________

1.- Obligacin de informar

Cuando se soliciten datos de carcter personal ser necesario informar de

previo a las personas titulares o a sus representantes, de modo expreso,
preciso e inequvoco:

a) De la existencia de una base de datos de carcter personal.

b) De los fines que se persiguen con la recoleccin de estos datos.

c) De los destinatarios de la informacin, as como de quines podrn

consultarla.

d) Del carcter obligatorio o facultativo de sus respuestas a las

preguntas que se le formulen durante la recoleccin de los datos.

e) Del tratamiento que se dar a los datos solicitados.

f) De las consecuencias de la negativa a suministrar los datos.

g) De la posibilidad de ejercer los derechos que le asisten.

h) De la identidad y direccin del responsable de la base de datos.

Cuando se utilicen cuestionarios u otros medios para la recoleccin de datos

personales figurarn estas advertencias en forma claramente legible.

2.- Otorgamiento del consentimiento

Quien recopile datos personales deber obtener el consentimiento expreso

de la persona titular de los datos o de su representante. Este consentimiento
deber constar por escrito, ya sea en un documento fsico o electrnico, el
cual podr ser revocado de la misma forma, sin efecto retroactivo.

No ser necesario el consentimiento expreso cuando:

a) Exista orden fundamentada, dictada por autoridad judicial

competente o acuerdo adoptado por una comisin especial de
investigacin de la Asamblea Legislativa en el ejercicio de su cargo.

b) Se trate de datos personales de acceso irrestricto, obtenidos de

fuentes de acceso pblico general.

c) Los datos deban ser entregados por disposicin constitucional o

legal.

________________________________________________________________
LEY PROTECCIN DE LA PERSONA FRENTE AL TRATAMIENTO
DE SUS DATOS PERSONALES
4
 TRIBUNAL SUPREMO DE ELECCIONES
NORMATIVA
www.tse.go.cr
_____________________________________________________________________

Se prohbe el acopio de datos sin el consentimiento informado de la persona,

o bien, adquiridos por medios fraudulentos, desleales o ilcitos.

ARTCULO 6.- Principio de calidad de la informacin

Solo podrn ser recolectados, almacenados o empleados datos de carcter

personal para su tratamiento automatizado o manual, cuando tales datos
sean actuales, veraces, exactos y adecuados al fin para el que fueron
recolectados.

1.- Actualidad

Los datos de carcter personal debern ser actuales. El responsable de la

base de datos eliminar los datos que hayan dejado de ser pertinentes o
necesarios, en razn de la finalidad para la cual fueron recibidos y
registrados. En ningn caso, sern conservados los datos personales que
puedan afectar, de cualquier modo, a su titular, una vez transcurridos diez
aos desde la fecha de ocurrencia de los hechos registrados, salvo
disposicin normativa especial que disponga otra cosa. En caso de que sea
necesaria su conservacin, ms all del plazo estipulado, debern ser
desasociados de su titular.

2. Veracidad

Los datos de carcter personal debern ser veraces.

La persona responsable de la base de datos est obligado a modificar o

suprimir los datos que falten a la verdad. De la misma manera, velar por
que los datos sean tratados de manera leal y lcita.

3.- Exactitud

Los datos de carcter personal debern ser exactos. La persona responsable

de la base de datos tomar las medidas necesarias para que los datos
inexactos o incompletos, con respecto a los fines para los que fueron
recogidos o para los que fueron tratados posteriormente, sean suprimidos o
rectificados.

Si los datos de carcter personal registrados resultan ser inexactos en todo o

en parte, o incompletos, sern eliminados o sustituidos de oficio por la
persona responsable de la base de datos, por los correspondientes datos

________________________________________________________________
LEY PROTECCIN DE LA PERSONA FRENTE AL TRATAMIENTO
DE SUS DATOS PERSONALES
5
 TRIBUNAL SUPREMO DE ELECCIONES
NORMATIVA
www.tse.go.cr
_____________________________________________________________________

rectificados, actualizados o complementados. Igualmente, sern eliminados

si no media el consentimiento informado o est prohibida su recoleccin.

4.- Adecuacin al fin

Los datos de carcter personal sern recopilados con fines determinados,

explcitos y legtimos, y no sern tratados posteriormente de manera
incompatible con dichos fines.

No se considerar incompatible el tratamiento posterior de datos con fines

histricos, estadsticos o cientficos, siempre y cuando se establezcan las
garantas oportunas para salvaguardar los derechos contemplados en esta
ley.

Las bases de datos no pueden tener finalidades contrarias a las leyes ni a la

moral pblica.

ARTCULO 7.- Derechos que le asisten a la persona

Se garantiza el derecho de toda persona al acceso de sus datos personales,

rectificacin o supresin de estos y a consentir la cesin de sus datos.

La persona responsable de la base de datos debe cumplir lo solicitado por la

persona, de manera gratuita, y resolver en el sentido que corresponda en el
plazo de cinco das hbiles, contado a partir de la recepcin de la solicitud.

1.- Acceso a la informacin

La informacin deber ser almacenada en forma tal que se garantice

plenamente el derecho de acceso por la persona interesada.

El derecho de acceso a la informacin personal garantiza las siguientes

facultades del interesado:

a) Obtener en intervalos razonables, segn se disponga por

reglamento, sin demora y a ttulo gratuito, la confirmacin o no de la
existencia de datos suyos en archivos o bases de datos. En caso de
que s existan datos suyos, estos debern ser comunicados a la
persona interesada en forma precisa y entendible.

b) Recibir la informacin relativa a su persona, as como la finalidad

con que fueron recopilados y el uso que se le ha dado a sus datos
personales. El informe deber ser completo, claro y exento de
________________________________________________________________
LEY PROTECCIN DE LA PERSONA FRENTE AL TRATAMIENTO
DE SUS DATOS PERSONALES
6
 TRIBUNAL SUPREMO DE ELECCIONES
NORMATIVA
www.tse.go.cr
_____________________________________________________________________

codificaciones. Deber estar acompaado de una explicacin de los

trminos tcnicos que se utilicen.

c) Ser informado por escrito de manera amplia, por medios fsicos o

electrnicos, sobre la totalidad del registro perteneciente al titular, aun
cuando el requerimiento solo comprenda un aspecto de los datos
personales. Este informe en ningn caso podr revelar datos
pertenecientes a terceros, aun cuando se vinculen con la persona
interesada, excepto cuando con ellos se pretenda configurar un delito
penal.

d) Tener conocimiento, en su caso, del sistema, programa, mtodo o

proceso utilizado en los tratamientos de sus datos personales.

El ejercicio del derecho al cual se refiere este artculo, en el caso de datos de

personas fallecidas, le corresponder a sus sucesores o herederos.

2.- Derecho de rectificacin

Se garantiza el derecho de obtener, llegado el caso, la rectificacin de los

datos personales y su actualizacin o la eliminacin de estos cuando se
hayan tratado con infraccin a las disposiciones de la presente ley, en
particular a causa del carcter incompleto o inexacto de los datos, o hayan
sido recopilados sin autorizacin del titular.

Todo titular puede solicitar y obtener de la persona responsable de la base

de datos, la rectificacin, la actualizacin, la cancelacin o la eliminacin y el
cumplimiento de la garanta de confidencialidad respecto de sus datos
personales.

El ejercicio del derecho al cual se refiere este artculo, en el caso de datos de

personas fallecidas, le corresponder a sus sucesores o herederos.

ARTCULO 8.- Excepciones a la autodeterminacin informativa del

ciudadano

Los principios, los derechos y las garantas aqu establecidos podrn ser
limitados de manera justa, razonable y acorde con el principio de
transparencia administrativa, cuando se persigan los siguientes fines:

a) La seguridad del Estado.

________________________________________________________________
LEY PROTECCIN DE LA PERSONA FRENTE AL TRATAMIENTO
DE SUS DATOS PERSONALES
7
 TRIBUNAL SUPREMO DE ELECCIONES
NORMATIVA
www.tse.go.cr
_____________________________________________________________________

b) La seguridad y el ejercicio de la autoridad pblica.

c) La prevencin, persecucin, investigacin, detencin y represin de

las infracciones penales, o de las infracciones de la deontologa en las
profesiones.

d) El funcionamiento de bases de datos que se utilicen con fines

estadsticos, histricos o de investigacin cientfica, cuando no exista
riesgo de que las personas sean identificadas.

e) La adecuada prestacin de servicios pblicos.

f) La eficaz actividad ordinaria de la Administracin, por parte de las

autoridades oficiales.

SECCIN II

CATEGORAS ESPECIALES DEL

TRATAMIENTO DE LOS DATOS

ARTCULO 9.- Categoras particulares de los datos

Adems de las reglas generales establecidas en esta ley, para el tratamiento

de los datos personales, las categoras particulares de los datos que se
mencionarn, se regirn por las siguientes disposiciones:

1.- Datos sensibles

Ninguna persona estar obligada a suministrar datos sensibles. Se prohbe el

tratamiento de datos de carcter personal que revelen el origen racial o
tnico, opiniones polticas, convicciones religiosas, espirituales o filosficas,
as como los relativos a la salud, la vida y la orientacin sexual, entre otros.

Esta prohibicin no se aplicar cuando:

a) El tratamiento de los datos sea necesario para salvaguardar el

inters vital del interesado o de otra persona, en el supuesto de que la

________________________________________________________________
LEY PROTECCIN DE LA PERSONA FRENTE AL TRATAMIENTO
DE SUS DATOS PERSONALES
8
 TRIBUNAL SUPREMO DE ELECCIONES
NORMATIVA
www.tse.go.cr
_____________________________________________________________________

persona interesada est fsica o jurdicamente incapacitada para dar su

consentimiento.

b) El tratamiento de los datos sea efectuado en el curso de sus

actividades legtimas y con las debidas garantas por una fundacin,
una asociacin o cualquier otro organismo, cuya finalidad sea poltica,
filosfica, religiosa o sindical, siempre que se refiera exclusivamente a
sus miembros o a las personas que mantengan contactos regulares con
la fundacin, la asociacin o el organismo, por razn de su finalidad y
con tal de que los datos no se comuniquen a terceros sin el
consentimiento de las personas interesadas.

c) El tratamiento se refiera a datos que la persona interesada haya

hecho pblicos voluntariamente o sean necesarios para el
reconocimiento, el ejercicio o la defensa de un derecho en un
procedimiento judicial.

d) El tratamiento de los datos resulte necesario para la prevencin o

para el diagnstico mdico, la prestacin de asistencia sanitaria o
tratamientos mdicos, o la gestin de servicios sanitarios, siempre que
dicho tratamiento de datos sea realizado por un funcionario o
funcionaria del rea de la salud, sujeto al secreto profesional o propio
de su funcin, o por otra persona sujeta, asimismo, a una obligacin
equivalente de secreto.

2.- Datos personales de acceso restringido

Datos personales de acceso restringido son los que, aun formando parte de
registros de acceso al pblico, no son de acceso irrestricto por ser de inters
solo para su titular o para la Administracin Pblica. Su tratamiento ser
permitido nicamente para fines pblicos o si se cuenta con el
consentimiento expreso del titular.

3.- Datos personales de acceso irrestricto

Datos personales de acceso irrestricto son los contenidos en bases de datos

pblicas de acceso general, segn lo dispongan las leyes especiales y de
conformidad con la finalidad para la cual estos datos fueron recabados.

No se considerarn contemplados en esta categora: la direccin exacta de la

residencia, excepto si su uso es producto de un mandato, citacin o
notificacin administrativa o judicial, o bien, de una operacin bancaria o
financiera, la fotografa, los nmeros de telfono privados y otros de igual
________________________________________________________________
LEY PROTECCIN DE LA PERSONA FRENTE AL TRATAMIENTO
DE SUS DATOS PERSONALES
9
 TRIBUNAL SUPREMO DE ELECCIONES
NORMATIVA
www.tse.go.cr
_____________________________________________________________________

naturaleza cuyo tratamiento pueda afectar los derechos y los intereses de la

persona titular.

4.- Datos referentes al comportamiento crediticio

Los datos referentes al comportamiento crediticio se regirn por las normas

que regulan el Sistema Financiero Nacional, de modo que permitan
garantizar un grado de riesgo aceptable por parte de las entidades
financieras, sin impedir el pleno ejercicio del derecho a la autodeterminacin
informativa ni exceder los lmites de esta ley.

SECCIN III

SEGURIDAD Y CONFIDENCIALIDAD

DEL TRATAMIENTO DE LOS DATOS

ARTCULO 10.- Seguridad de los datos

El responsable de la base de datos deber adoptar las medidas de ndole

tcnica y de organizacin necesarias para garantizar la seguridad de los
datos de carcter personal y evitar su alteracin, destruccin accidental o
ilcita, prdida, tratamiento o acceso no autorizado, as como cualquier otra
accin contraria a esta ley.

Dichas medidas debern incluir, al menos, los mecanismos de seguridad

fsica y lgica ms adecuados de acuerdo con el desarrollo tecnolgico actual,
para garantizar la proteccin de la informacin almacenada.

No se registrarn datos personales en bases de datos que no renan las

condiciones que garanticen plenamente su seguridad e integridad, as como
la de los centros de tratamiento, equipos, sistemas y programas.

Por va de reglamento se establecern los requisitos y las condiciones que

deban reunir las bases de datos automatizadas y manuales, y de las
personas que intervengan en el acopio, almacenamiento y uso de los datos.

ARTCULO 11.- Deber de confidencialidad

________________________________________________________________
LEY PROTECCIN DE LA PERSONA FRENTE AL TRATAMIENTO
DE SUS DATOS PERSONALES
10
 TRIBUNAL SUPREMO DE ELECCIONES
NORMATIVA
www.tse.go.cr
_____________________________________________________________________

La persona responsable y quienes intervengan en cualquier fase del

tratamiento de datos personales estn obligadas al secreto profesional o
funcional, aun despus de finalizada su relacin con la base de datos. La
persona obligada podr ser relevado del deber de secreto por decisin
judicial en lo estrictamente necesario y dentro de la causa que conoce.

ARTCULO 12.- Protocolos de actuacin

Las personas fsicas y jurdicas, pblicas y privadas, que tengan entre sus
funciones la recoleccin, el almacenamiento y el uso de datos personales,
podrn emitir un protocolo de actuacin en el cual establecern los pasos
que debern seguir en la recoleccin, el almacenamiento y el manejo de los
datos personales, de conformidad con las reglas previstas en esta ley.

Para que sean vlidos, los protocolos de actuacin debern ser inscritos, as
como sus posteriores modificaciones, ante la Prodhab. La Prodhab podr
verificar, en cualquier momento, que la base de datos est cumpliendo
cabalmente con los trminos de su protocolo.

La manipulacin de datos con base en un protocolo de actuacin inscrito ante

la Prodhab har presumir, iuris tantum, el cumplimiento de las
disposiciones contenidas en esta ley, para los efectos de autorizar la cesin
de los datos contenidos en una base.

ARTCULO 13.- Garantas efectivas

Toda persona interesada tiene derecho a un procedimiento administrativo

sencillo y rpido ante la Prodhab, con el fin de ser protegido contra actos que
violen sus derechos fundamentales reconocidos por esta ley. Lo anterior sin
perjuicio de las garantas jurisdiccionales generales o especficas que la ley
establezca para este mismo fin.

CAPTULO III

TRANSFERENCIA DE DATOS PERSONALES

SECCIN NICA
________________________________________________________________
LEY PROTECCIN DE LA PERSONA FRENTE AL TRATAMIENTO
DE SUS DATOS PERSONALES
11
 TRIBUNAL SUPREMO DE ELECCIONES
NORMATIVA
www.tse.go.cr
_____________________________________________________________________

ARTCULO 14.- Transferencia de datos personales, regla general

Los responsables de las bases de datos, pblicas o privadas, solo podrn

transferir datos contenidos en ellas cuando el titular del derecho haya
autorizado expresa y vlidamente tal transferencia y se haga sin vulnerar los
principios y derechos reconocidos en esta ley.

CAPTULO IV

AGENCIA DE PROTECCIN DE DATO

DE LOS HABITANTES

SECCIN I

DISPOSICIONES GENERALES

ARTCULO 15.- Agencia de Proteccin de Datos de los habitantes

(Prodhab)

Crase un rgano de desconcentracin mxima adscrito al Ministerio de

Justicia y Paz denominado Agencia de Proteccin de Datos de los habitantes
(Prodhab). Tendr personalidad jurdica instrumental propia en el desempeo
de las funciones que le asigna esta ley, adems de la administracin de sus
recursos y presupuesto, as como para suscribir los contratos y convenios
que requiera para el cumplimiento de sus funciones. La Agencia gozar de
independencia de criterio.

ARTCULO 16.- Atribuciones

Son atribuciones de la Prodhab, adems de las otras que le impongan esta u

otras normas, las siguientes:

a) Velar por el cumplimiento de la normativa en materia de proteccin

de datos, tanto por parte de personas fsicas o jurdicas privadas, como
por entes y rganos pblicos.

________________________________________________________________
LEY PROTECCIN DE LA PERSONA FRENTE AL TRATAMIENTO
DE SUS DATOS PERSONALES
12
 TRIBUNAL SUPREMO DE ELECCIONES
NORMATIVA
www.tse.go.cr
_____________________________________________________________________

b) Llevar un registro de las bases de datos reguladas por esta ley.

c) Requerir, de quienes administren bases de datos, las informaciones

necesarias para el ejercicio de su cargo, entre ellas, los protocolos
utilizados.

d) Acceder a las bases de datos reguladas por esta ley, a efectos de

hacer cumplir efectivamente las normas sobre proteccin de datos
personales. Esta atribucin se aplicar para los casos concretos
presentados ante la Agencia y, excepcionalmente, cuando se tenga
evidencia de un mal manejo generalizado de la base de datos o
sistema de informacin.

e) Resolver sobre los reclamos por infraccin a las normas sobre

proteccin de los datos personales.

f) Ordenar, de oficio o a peticin de parte, la supresin, rectificacin,

adicin o restriccin en la circulacin de las informaciones contenidas
en los archivos y las bases de datos, cuando estas contravengan las
normas sobre proteccin de los datos personales.

g) Imponer las sanciones establecidas, en el artculo 28 de esta ley, a

las personas fsicas o jurdicas, pblicas o privadas, que infrinjan las
normas sobre proteccin de los datos personales, y dar traslado al
Ministerio Pblico de las que puedan configurar delito.

h) Promover y contribuir en la redaccin de normativa tendiente a

implementar las normas sobre proteccin de los datos personales.

i) Dictar las directrices necesarias, las cuales debern ser publicadas

en el diario oficial La Gaceta, a efectos de que las instituciones pblicas
implementen los procedimientos adecuados respecto del manejo de los
datos personales, respetando los diversos grados de autonoma
administrativa e independencia funcional.

j) Fomentar entre los habitantes el conocimiento de los derechos

concernientes al acopio, el almacenamiento, la transferencia y el uso
de sus datos personales.

En el ejercicio de sus atribuciones, la Prodhab deber emplear

procedimientos automatizados, de acuerdo con las mejores herramientas
tecnolgicas a su alcance.

________________________________________________________________
LEY PROTECCIN DE LA PERSONA FRENTE AL TRATAMIENTO
DE SUS DATOS PERSONALES
13
 TRIBUNAL SUPREMO DE ELECCIONES
NORMATIVA
www.tse.go.cr
_____________________________________________________________________

ARTCULO 17.- Direccin de la Agencia

La Direccin de la Prodhab estar a cargo de un director o una directora

nacional, quien deber contar, al menos, con el grado acadmico de
licenciatura en una materia afn al objeto de su funcin y ser de reconocida
solvencia profesional y moral.

No podr ser nombrado director o directora nacional quien sea propietario,

accionista, miembro de la junta directiva, gerente, asesor, representante
legal o empleado de una empresa dedicada a la recoleccin o el
almacenamiento de datos personales. Dicha prohibicin persistir hasta por
dos aos despus de haber cesado sus funciones o vnculo empresarial.
Estar igualmente impedido quien sea cnyuge o pariente hasta el tercer
grado de consanguinidad o afinidad de una persona que est en alguno de
los supuestos mencionados anteriormente.

ARTCULO 18.- Personal de la Agencia

La Prodhab contar con el personal tcnico y administrativo necesario para el

buen ejercicio de sus funciones, designado mediante concurso por idoneidad,
segn el Estatuto de Servicio Civil o bien como se disponga
reglamentariamente. El personal est obligado a guardar secreto profesional
y deber de confidencialidad de los datos de carcter personal que conozca en
el ejercicio de sus funciones.

ARTCULO 19.- Prohibiciones

Todos los empleados y las empleadas de la Prodhab tienen las siguientes

prohibiciones:

a) Prestar servicios a las personas o empresas que se dediquen al

acopio, el almacenamiento o el manejo de datos personales. Dicha
prohibicin persistir hasta dos aos despus de haber cesado sus
funciones.

b) Interesarse, personal e indebidamente, en asuntos de conocimiento

de la Agencia.

c) Revelar o de cualquier forma propalar los datos personales a que ha

tenido acceso con ocasin de su cargo. Esta prohibicin persistir
indefinidamente aun despus de haber cesado en su cargo.

________________________________________________________________
LEY PROTECCIN DE LA PERSONA FRENTE AL TRATAMIENTO
DE SUS DATOS PERSONALES
14
 TRIBUNAL SUPREMO DE ELECCIONES
NORMATIVA
www.tse.go.cr
_____________________________________________________________________

d) En el caso de los funcionarios y las funcionarias nombrados en

plazas de profesional, ejercer externamente su profesin. Lo anterior
tiene como excepcin el ejercicio de la actividad docente en centros de
educacin superior o la prctica liberal a favor de parientes por
consanguinidad o afinidad hasta el tercer grado, siempre que no se
est ante el supuesto del inciso a).

La inobservancia de cualquiera de las anteriores prohibiciones ser

considerada falta gravsima, para efectos de aplicacin del rgimen
disciplinario, sin perjuicio de las otras formas de responsabilidad que tales
conductas pudieran acarrear.

ARTCULO 20.- Presupuesto

El presupuesto de la Prodhab estar constituido por lo siguiente:

a) Los cnones, las tasas y los derechos obtenidos en el ejercicio de

sus funciones.

b) Las transferencias que el Estado realice a favor de la Agencia.

c) Las donaciones y subvenciones provenientes de otros estados,

instituciones pblicas nacionales u organismos internacionales, siempre
que no comprometan la independencia, transparencia y autonoma de
la Agencia.

d) Lo generado por sus recursos financieros.

Los montos provenientes del cobro de las multas sealadas en esta ley sern
destinados a la actualizacin de equipos y programas de la Prodhab.

La Agencia estar sujeta al cumplimiento de los principios y al rgimen de

responsabilidad establecidos en los ttulos II y X de la Ley N. 8131,
Administracin Financiera de la Repblica y Presupuestos Pblicos, de 18 de
setiembre de 2001. Adems, deber proporcionar la informacin requerida
por el Ministerio de Hacienda para sus estudios. En lo dems, se excepta a
la Agencia de los alcances y la aplicacin de esa ley. En la fiscalizacin, la
Agencia estar sujeta, nicamente, a las disposiciones de la Contralora
General de la Repblica.

________________________________________________________________
LEY PROTECCIN DE LA PERSONA FRENTE AL TRATAMIENTO
DE SUS DATOS PERSONALES
15
 TRIBUNAL SUPREMO DE ELECCIONES
NORMATIVA
www.tse.go.cr
_____________________________________________________________________

SECCIN II

ESTRUCTURA INTERNA

ARTCULO 21.- Registro de archivos y bases de datos

Toda base de datos, pblica o privada, administrada con fines de

distribucin, difusin o comercializacin, debe inscribirse en el registro que al
efecto habilite la Prodhab. La inscripcin no implica el trasbase o la
transferencia de los datos.

Deber inscribir cualesquiera otras informaciones que las normas de rango

legal le impongan y los protocolos de actuacin a que hacen referencia el
artculo 12 y el inciso c) del artculo 16 de esta ley.

ARTCULO 22.- Divulgacin

La Prodhab elaborar y ejecutar una estrategia de comunicacin dirigida a

permitir que los administrados conozcan los derechos derivados del manejo
de sus datos personales, as como los mecanismos que el ordenamiento
prev para la defensa de tales prerrogativas. Deber coordinar con los
gobiernos locales y con la Defensora de los Habitantes de la Repblica la
realizacin peridica de las actividades de divulgacin entre los habitantes de
los cantones.

Asimismo, promover entre las personas y empresas que recolecten,

almacenen o manipulen datos personales, la adopcin de prcticas y
protocolos de actuacin acordes con la proteccin de dicha informacin.

CAPTULO V

PROCEDIMIENTOS

SECCIN I

DISPOSICIONES COMUNES

________________________________________________________________
LEY PROTECCIN DE LA PERSONA FRENTE AL TRATAMIENTO
DE SUS DATOS PERSONALES
16
 TRIBUNAL SUPREMO DE ELECCIONES
NORMATIVA
www.tse.go.cr
_____________________________________________________________________

ARTCULO 23.-Aplicacin supletoria

En lo no previsto expresamente por esta ley y en tanto sean compatibles con

su finalidad, sern aplicables supletoriamente las disposiciones del libro II de
la Ley General de la Administracin Pblica.

SECCIN II

INTERVENCIN EN ARCHIVOS Y BASES DE DATOS

ARTCULO 24.- Denuncia

Cualquier persona que ostente un derecho subjetivo o un inters legtimo

puede denunciar, ante la Prodhab, que una base de datos pblica o privada
acta en contravencin de las reglas o los principios bsicos para la
proteccin de los datos y la autodeterminacin informativa establecidas en
esta ley.

ARTCULO 25.- Trmite de las denuncias

Recibida la denuncia, se conferir al responsable de la base de datos un

plazo de tres das hbiles para que se pronuncie acerca de la veracidad de
tales cargos. La persona denunciada deber remitir los medios de prueba
que respalden sus afirmaciones junto con un informe, que se considerar
dado bajo juramento. La omisin de rendir el informe en el plazo estipulado
har que se tengan por ciertos los hechos acusados.

En cualquier momento, la Prodhab podr ordenar a la persona denunciada la

presentacin de la informacin necesaria. Asimismo, podr efectuar
inspecciones in situ en sus archivos o bases de datos. Para salvaguardar los
derechos de la persona interesada, puede dictar, mediante acto fundado, las
medidas cautelares que aseguren el efectivo resultado del procedimiento.

A ms tardar un mes despus de la presentacin de la denuncia, la Prodhab

deber dictar el acto final. Contra su decisin cabr recurso de
reconsideracin dentro del tercer da, el cual deber ser resuelto en el plazo
de ocho das luego de recibido.

________________________________________________________________
LEY PROTECCIN DE LA PERSONA FRENTE AL TRATAMIENTO
DE SUS DATOS PERSONALES
17
 TRIBUNAL SUPREMO DE ELECCIONES
NORMATIVA
www.tse.go.cr
_____________________________________________________________________

ARTCULO 26.- Efectos de la resolucin estimatoria

Si se determina que la informacin del interesado es falsa, incompleta,

inexacta, o bien, que de acuerdo con las normas sobre proteccin de datos
personales esta fue indebidamente recolectada, almacenada o difundida,
deber ordenarse su inmediata supresin, rectificacin, adicin o aclaracin,
o bien, impedimento respecto de su transferencia o difusin. Si la persona
denunciada no cumple ntegramente lo ordenado, estar sujeta a las
sanciones previstas en esta y otras leyes.

ARTCULO 27.- Procedimiento sancionatorio

De oficio o a instancia de parte, la Prodhab podr iniciar un procedimiento

tendiente a demostrar si una base de datos regulada por esta ley est siendo
empleada de conformidad con sus principios; para ello, debern seguirse los
trmites previstos en la Ley General de la Administracin Pblica para el
procedimiento ordinario. Contra el acto final cabr recurso de
reconsideracin dentro del tercer da, el cual deber ser resuelto en el plazo
de ocho das luego de recibido.

ARTCULO 28.- Sanciones

Si se ha incurrido en alguna de las faltas tipificadas en esta ley, se deber

imponer alguna de las siguientes sanciones, sin perjuicio de las sanciones
penales correspondientes:

a) Para las faltas leves, una multa hasta de cinco salarios base del
cargo de auxiliar judicial I, segn la Ley de Presupuesto de la
Repblica.

b) Para las faltas graves, una multa de cinco a veinte salarios base del
cargo de auxiliar judicial I, segn la Ley de Presupuesto de la
Repblica.

c) Para las faltas gravsimas, una multa de quince a treinta salarios

base del cargo de auxiliar judicial I, segn la Ley de Presupuesto de la
Repblica, y la suspensin para el funcionamiento del fichero de uno a
seis meses.

________________________________________________________________
LEY PROTECCIN DE LA PERSONA FRENTE AL TRATAMIENTO
DE SUS DATOS PERSONALES
18
 TRIBUNAL SUPREMO DE ELECCIONES
NORMATIVA
www.tse.go.cr
_____________________________________________________________________

ARTCULO 29.- Faltas leves

Sern consideradas faltas leves, para los efectos de esta ley:

a) Recolectar datos personales para su uso en base de datos sin que

se le otorgue suficiente y amplia informacin a la persona interesada,
de conformidad con las especificaciones del artculo 5, apartado I.

b) Recolectar, almacenar y transmitir datos personales de terceros por

medio de mecanismos inseguros o que de alguna forma no garanticen
la seguridad e inalterabilidad de los datos.

ARTCULO 30.- Faltas graves

Sern consideradas faltas graves, para los efectos de esta ley:

a) Recolectar, almacenar, transmitir o de cualquier otra forma emplear

datos personales sin el consentimiento informado y expreso del titular
de los datos, con arreglo a las disposiciones de esta ley.

b) Transferir datos personales a otras personas o empresas en

contravencin de las reglas establecidas en el captulo III de esta ley.

c) Recolectar, almacenar, transmitir o de cualquier otro modo emplear

datos personales para una finalidad distinta de la autorizada por el
titular de la informacin.

d) Negarse injustificadamente a dar acceso a un interesado sobre los

datos que consten en archivos y bases de datos, a fin de verificar su
calidad, recoleccin, almacenamiento y uso conforme a esta ley.

e) Negarse injustificadamente a eliminar o rectificar los datos de una

persona que as lo haya solicitado por medio claro e inequvoco.

ARTCULO 31.- Faltas gravsimas

Sern consideradas faltas gravsimas, para los efectos de esta ley:

a) Recolectar, almacenar, transmitir o de cualquier otra forma

emplear, por parte de personas fsicas o jurdicas privadas, datos
sensibles, segn la definicin prevista en el artculo 3 de esta ley.
________________________________________________________________
LEY PROTECCIN DE LA PERSONA FRENTE AL TRATAMIENTO
DE SUS DATOS PERSONALES
19
 TRIBUNAL SUPREMO DE ELECCIONES
NORMATIVA
www.tse.go.cr
_____________________________________________________________________

b) Obtener, de los titulares o de terceros, datos personales de una

persona por medio de engao, violencia o amenaza.

c) Revelar informacin registrada en una base de datos personales

cuyo secreto est obligado a guardar conforme la ley.

d) Proporcionar a un tercero informacin falsa o distinta contenida en

un archivo de datos, con conocimiento de ello.

e) Realizar tratamiento de datos personales sin encontrarse

debidamente inscrito ante la Prodhab, en el caso de los responsables
de bases de datos cubiertos por el artculo 21 de esta ley.

f) Transferir, a las bases de datos de terceros pases, informacin de

carcter personal de los costarricenses o de los extranjeros radicados
en el pas, sin el consentimiento de sus titulares.

SECCIN III

PROCEDIMIENTOS INTERNOS

ARTCULO 32.- Rgimen sancionatorio para bases de datos pblicas

Cuando la persona responsable de una base de datos pblica cometa alguna

de las faltas anteriores, la Prodhab dictar una resolucin estableciendo las
medidas que proceda adoptar para que cesen o se corrijan los efectos de la
falta. Esta resolucin se notificar a la persona responsable de la base de
datos, al rgano del que dependa jerrquicamente y a los afectados, si los
hay. La resolucin podr dictarse de oficio o a peticin de parte. Lo anterior
sin perjuicio de la responsabilidad penal en que haya incurrido.

CAPTULO VI

CNONES

ARTCULO 33.- Canon por regulacin y administracin de bases de

datos

________________________________________________________________
LEY PROTECCIN DE LA PERSONA FRENTE AL TRATAMIENTO
DE SUS DATOS PERSONALES
20
 TRIBUNAL SUPREMO DE ELECCIONES
NORMATIVA
www.tse.go.cr
_____________________________________________________________________

Las personas responsables de bases de datos que deban inscribirse ante la

Prodhab, de conformidad con el artculo 21 de esta ley, estarn sujetos a un
canon de regulacin y administracin de bases de datos que deber ser
cancelado anualmente, con un monto de doscientos dlares ($200), moneda
de curso legal de los Estados Unidos de Amrica. El procedimiento para
realizar el cobro del presente canon ser detallado en el reglamento que a
los efectos deber emitir la Prodhab.

ARTCULO 34.- Canon por comercializacin de consulta

La persona responsable de la base de datos deber cancelar a la Prodhab un

canon por cada venta de los datos de ficheros definidos en el inciso b) del
artculo 3 de esta ley, de personas individualizables registradas
legtimamente y siempre que sea comercializado con fines de lucro, el cual
oscilar entre los veinticinco centavos de dlar ($0,25) y un dlar ($1),
moneda de curso legal de los Estados Unidos de Amrica, monto que podr
ser fijado dentro de dicho rango va reglamento. En caso de contratos
globales de bajo, medio y alto consumo de consultas, o modalidades
contractuales de servicio en lnea por nmero de aplicaciones, ser el
reglamento de la ley el que fije el detalle del cobro del canon que no podr
ser superior al diez por ciento (10%) del precio contractual.

TRANSITORIOS

TRANSITORIO I.-

Las personas fsicas o jurdicas, pblicas o privadas, que en la actualidad son

propietarias o administradoras de las bases de datos objeto de esta ley,
debern adecuar sus procedimientos y reglas de actuacin, as como el
contenido de sus bases de datos a lo establecido en la presente ley, en un
plazo mximo de un ao a partir de la creacin de la Prodhab.

TRANSITORIO II.-

A partir de la fecha de entrada en vigencia de esta ley, se iniciar el proceso

de conformacin e integracin de la Prodhab; para ello, se dispondr de un
plazo mximo de seis meses.

________________________________________________________________
LEY PROTECCIN DE LA PERSONA FRENTE AL TRATAMIENTO
DE SUS DATOS PERSONALES
21
 TRIBUNAL SUPREMO DE ELECCIONES
NORMATIVA
www.tse.go.cr
_____________________________________________________________________

TRANSITORIO III.-

El Poder Ejecutivo emitir la reglamentacin de esta ley en un plazo mximo

de seis meses despus de la conformacin de la Prodhab, recogiendo las
recomendaciones tcnicas que le proporcione la Agencia.

Rige a partir de su publicacin.

ASAMBLEA LEGISLATIVA. Aprobado a los veintisiete das del mes de junio

de dos mil once.

COMUNCASE AL PODER EJECUTIVO

Juan Carlos Mendoza Garca

PRESIDENTE

Jos Roberto Rodrguez Quesada Martn Alcides Monestel Contreras

PRIMER SECRETARIO SEGUNDO SECRETARIO

Dado en la Presidencia de la Repblica.San Jos, a los siete das del mes

de julio del ao dos mil once.

Ejectese y publquese.

LAURA CHINCHILLA MIRANDA.El Ministro de Justicia y Paz, Hernando Pars

Rodrguez.

________________________________________________________________
LEY PROTECCIN DE LA PERSONA FRENTE AL TRATAMIENTO
DE SUS DATOS PERSONALES
22